/pattern/least-privilege/

04 · ProductionGovernance & SafetyMinimal Permission AgentScoped AgentRole-limited Agent

Least Privilege Agent.
Jeder Agent sieht die kleinste Welt, die ihn seine Arbeit erledigen lässt.

Jeder Agent erhält nur die Tools, Daten und Berechtigungen, die seine spezifische Aufgabe erfordert — das Prinzip der geringsten Rechte auf Agenten angewandt, sodass ein kompromittierter oder falsch gelenkter Agent nur seinen eigenen Schadensradius (Blast Radius) statt das gesamte System erreichen kann.

In der PraxisEin Content-Moderations-Agent erhält Lesezugriff auf die Nutzerinhalt-Datenbank und Schreibzugriff nur auf einen Quarantäne-Bucket, sodass selbst eine Prompt-Injektion ihn nicht anweisen kann, Produktionsdatensätze zu löschen.

Ohne esOhne Least Privilege hält ein einziger kompromittierter oder falsch gelenkter Agent die Schlüssel zum gesamten System und verwandelt einen Modellfehler in einen plattformweiten Vorfall. Zum Anti-Pattern →

Wann man dazu greift

  • Mehrere Agenten in verschiedenen Vertrauenszonen operieren.
  • Sensible Daten oder Aktionen involviert sind.
  • Sicherheitsgrenzen architektonisch sichtbar sein sollen.

Wann es nach hinten losgeht

  • Agenten-Rollen nicht klar getrennt sind.
  • Das Berechtigungsmodell die Wartung verhindert.
  • Falsche Einschränkungen Kernfunktionen blockieren.

Die Abwägung

Eine reduzierte Angriffsfläche wird auf Kosten höheren Aufwands für Rollen- und Berechtigungsverwaltung gewonnen.

Die Wirkung

Was es tatsächlich tut.

Jede Komponente erhält nur die Rechte, die sie benötigt.

actiongrantsallowedblocked
Fallstricke

Zwei Wege, wie dieses Pattern Probleme verursachen kann.

Privilege Creep durch gemeinsam genutzte Rollen

Mehrere Agenten verwenden aus Bequemlichkeit dieselbe 'gemeinsame' Rolle. Die Rolle sammelt jede Berechtigung an, die jemals jemand benötigt hat; Least Privilege ist der Name, nicht die Praxis.

Lösung · Berechtigungen an die Agenten-Definition binden, nicht an eine gemeinsame Rolle. Die Rolle aus dem deklarierten Toolset zum Deploy-Zeitpunkt generieren.

Ein gescopter Agent erbt die weiteren Anmeldedaten eines Tools

Der Agent erhält nur ein 'Report-lesen'-Tool, aber dieses Tool authentifiziert sich mit einem Service-Konto, das auch schreiben kann. Der Schadensradius des Agenten sind die Berechtigungen des Tools, nicht seine eigene Zuteilung.

Lösung · Die Anmeldedaten, mit denen das Tool selbst läuft, scopen — nicht nur, welche Tools der Agent aufrufen darf. Die effektiven Berechtigungen jedes Tools gegen den beabsichtigten Scope des Agenten prüfen.

Framework-Unterstützung

Wo Least Privilege Agent nativ ist.

OpenAI Agents SDKgescopte Tools pro AgentNativ
Microsoft Agent Frameworkgescopte BerechtigungenNativ
Google ADKgescopter Tool-ZugriffNativ
AWS StrandsIAM-gescopte ToolsNativ
LangGraphTool-Bindung pro NodeNativ

Suche

Patterns, Frameworks und Seiten durchsuchen.